似乎与Petya系列相关的赎金软件并使用与Wannacry在美国的组织中受到影响,在乌克兰,俄罗斯和欧洲的攻击之后,使用相同的EternalBlue开发。
新的赎金软件,卡巴斯基实验室的Expet,已与Petya相关联,因为,像那个赎金软件一样,它还尝试加密硬盘的主引导记录(MBR),将受害者锁定在他们的计算机中 - 不仅仅是文件。
安全研究人员还强调,用于传播,Expet不仅仅是在Microsoft Windows中的服务器消息块协议中针对已知漏洞的Eternablue Exploit。
通过通过TCP端口445定位Windows XP到2008系统的EterNalromance Exploit,并通过滥用合法命令行工具PSExec和Windows管理仪表命令行(WMIC)来分布。
ransomware还使用公开的可用性memikatztool来获取纯广告文本中所有Windows用户的凭据,包括本地管理员和域用户。
这意味着即使已经申请了被NSA开发的EteroalBlue和Eternallomance和Eeternallomance和Eternallomance剧本所发出的MicroSosf补丁,计算机仍可能易受攻击,并且随后被阴影布的黑暗攻击组被盗窃和泄漏并泄漏。
但是,对于任何未括的机器,仍然建议立即应用Microsoft补丁。
鉴于攻击者的电子邮件帐户接受赎金支付已被关闭,受害者也被告知不会支付300美元的赎金,因为它们不太可能收到解密受影响的文件的关键。
安全研究人员监控与赎金软件报告相关的比特币钱包在攻击开始后几个小时,钱包开始接收资金,表明一些受害者愿意立即支付。但是,只有大约26名受害者被认为在第一天支付。
为防止赎金软件在网络中传播,安全公司的正技术建议关闭尚未感染的计算机,从网络中断开受感染的主机,并制作受损系统的图像。
该方法对于恢复数据可能有用,如果研究人员找到了解密文件的方法。此外,这些图像可用于分析勒索软件。
该公司的研究人员还声称已经发现杀死交换机在本地禁用勒索软件,并在博客文章中提供了详细信息。
研究人员发现,ransomware检查Perfc文件是否在执行之前存在于C:/ Windows /文件夹中。他们建议在这个文件夹中创建一个具有正确名称的文件可以防止替换MBR和进一步加密。同样,其他研究人员建议阻塞C:/windows/perfc.datfrom写或执行可能会停止勒索软件。
要应用此本地杀戮开关或疫苗,管理员需要找到C:/ Windows /文件夹并创建名为PERCC的文件,没有扩展名。
根据卡斯巴斯基实验室的说法,在攻击的第一天结束时,兰扬软件袭击了大约2,000台机器,这似乎表明了比Wannacry更慢的蔓延。
代码分析表明,新的赎金软件不会尝试将自己扩展到网络上,领导几位专家预测攻击不会显着传播,除非是BBC,否则将其修改。
Amichai Shulman,Celity Compervea的联合创始人和首席技术官表示,如凡人,这个最新的攻击显示迅速复制赎金软件不是可行的财务模式。
“此数据支持此恶意软件是国家国家驱动的论点,仅针对扰乱运营而不是在赎金上的货币化。”
兰克省的已知受害者包括乌克兰的核心银行,乌克兰的乌克兰电力供应商,切尔诺贝利核电站,机场和地铁服务在整个乌克兰,英国广告公司WPP,美国制药公司梅克,跨国律师事务所DLA Piper,丹麦航运公司APMoller-Maersk,俄罗斯石油公司Rosneft,宾夕法尼亚州医院运营商遗产史上卫生系统,荷兰航运公司TNT和法国建筑材料公司圣戈贝板。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。